文件还原威胁识别方法、系统、计算机及可读存储介质与流程

专利查询12天前  7



1.本技术涉及数据处理技术领域,特别是涉及一种文件还原威胁识别方法、系统、计算机及可读存储介质。


背景技术:

2.随着科技的进步以及生产力的快速发展,互联网已经在人们的生活中得到了普及,使人们能够在互联网上进行购物、学习以及娱乐等,极大的方便了人们的生活。
3.现如今,随着互联网的用户日益增加,使得会在互联网上产生海量的数据,其中,在用户访问数据量较大的场景下,会在各个网页中产生海量的数据,从而需要对不必要的数据进行还原处理并识别出威胁情报数据。
4.然而,现有技术对威胁情报数据的识别过程较为复杂,使得处理成本较高,不利于大规模的使用。


技术实现要素:

5.基于此,本技术实施例提供了一种文件还原威胁识别方法、系统、计算机及可读存储介质,以至少解决相关技术中对威胁情报数据的识别过程较为复杂,导致处理成本较高的问题。
6.第一方面,本技术实施例提供了一种文件还原威胁识别方法,所述方法包括:
7.根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件;
8.将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名;
9.判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;
10.若是,则对所述hash进行检测,以判断所述hash是否具有威胁;
11.在所述hash具有威胁的情况下,则进行威胁告警,并展开应急响应。
12.在其中一些实施例中,所述根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件的步骤包括:
13.通过预设程序指定主机名、请求方法、访问接口以及文件头提取所述流量文件中的hash;
14.对提取出的各个所述流量文件进行文件还原,以得到各个对应的还原文件。
15.在其中一些实施例中,所述将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名的步骤包括:
16.将所述还原文件按照年月日进行数据的存储,并生成对应的目录,所述目录包括各个所述还原文件对应的md5值。
17.在其中一些实施例中,所述根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件的步骤之后,所述方法包括:
18.记录各个所述还原文件对应的还原日志,并在所述还原日志中记录与http信息关联的文件指纹,所述http信息包括主机名hostname、代理地址proxy、请求方法method、访问接口url以及真实访问源地址true_client_ip。
19.在其中一些实施例中,所述对所述hash进行检测的步骤包括:
20.通过virshtotal或者调用威胁情报接口对所述hash进行检测,以判断所述hash是否具有威胁。
21.第二方面,本技术实施例提供了一种文件还原威胁识别系统,所述系统包括:
22.还原模块,用于根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件;
23.存储模块,用于将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名;
24.第一判断模块,用于判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;
25.第二判断模块,用于若判断到所述还原文件的md5值与hids的新增文件中的md5值关联,则对所述hash进行检测,以判断所述hash是否具有威胁;
26.第一执行模块,用于若判断到所述hash具有威胁,则进行威胁告警,并展开应急响应。
27.其中,上述文件还原威胁识别系统中,所述还原模块具体用于:
28.通过预设程序指定主机名、请求方法、访问接口以及文件头提取所述流量文件中的hash;
29.对提取出的各个所述流量文件进行文件还原,以得到各个对应的还原文件。
30.其中,上述文件还原威胁识别系统中,所述存储模块具体用于:
31.将所述还原文件按照年月日进行数据的存储,并生成对应的目录,所述目录包括各个所述还原文件对应的md5值。
32.其中,上述文件还原威胁识别系统中,所述文件还原威胁识别系统还包括记录模块,所述记录模块具体用于:
33.记录各个所述还原文件对应的还原日志,并在所述还原日志中记录与http信息关联的文件指纹,所述http信息包括主机名(hostname)、代理地址(proxy)、请求方法(method)、访问接口(url)以及真实访问源地址(true_client_ip)。
34.其中,上述文件还原威胁识别系统中,所述文件还原威胁识别系统还包括第二执行模块,所述第二执行模块具体用于:
35.若判断到所述还原文件的md5值与hids的新增文件中的md5值关联,则通过调用威胁情报接口对所述hash进行检测,以判断所述hash是否具有威胁。
36.第三方面,本技术实施例提供了一种计算机,其包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上面所述的文件还原威胁识别方法。
37.第四方面,本技术实施例提供了一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上面所述的文件还原威胁识别方法。
38.相比于相关技术,本技术实施例提供的文件还原威胁识别方法、系统、计算机及可
读存储介质,首先根据预设规则提取流量文件中的hash,并对该流量文件进行文件还原,以得到需要的还原文件;进一步的,将该还原文件按照预设格式进行存储,并以各个还原文件对应的md5值命名;更进一步的,判断每个还原文件的md5值是否与hids的新增文件中的md5值关联;若是,则通过virshtotal对所述hash进行检测,以判断所述hash是否具有威胁;最后,当判断到上述hash具有威胁时,则进行威胁告警,并展开应急响应。本技术提供的文件还原威胁识别方法通过灵活定义流量文件的还原策略,能够有效的处理当前web站点在海量访问的前提下,通过有效的将流量文件还原成需要的还原文件,并进行md5值的关联识别,从而能够准确的识别出当前hash是否具有威胁,以根据结果进行对应的应急响应,识别过程简单、便捷,大幅降低了处理的成本,有利于大范围的推广与使用。
39.本技术的一个或多个实施例的细节在以下附图和描述中提出,以使本技术的其他特征、目的和优点更加简明易懂。
附图说明
40.此处所说明的附图用来提供对本技术的进一步理解,构成本技术的一部分,本技术的示意性实施例及其说明用于解释本技术,并不构成对本技术的不当限定。在附图中:
41.图1为本技术第一实施例提供的文件还原威胁识别方法的流程图;
42.图2为本技术第二实施例提供的文件还原威胁识别方法的流程图;
43.图3为本技术第三实施例提供的文件还原威胁识别系统的结构框图;
44.图4为本发明第四实施例提供的计算机的结构框图。
具体实施方式
45.为了使本技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本技术进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本技术,并不用于限定本技术。基于本技术提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本技术保护的范围。
46.显而易见地,下面描述中的附图仅仅是本技术的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本技术应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本技术公开的内容相关的本领域的普通技术人员而言,在本技术揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本技术公开的内容不充分。
47.在本技术中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本技术所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
48.除非另作定义,本技术所涉及的技术术语或者科学术语应当为本技术所属技术领域内具有一般技能的人士所理解的通常意义。本技术所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本技术所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本技术所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本技术所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“a和/或b”可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本技术所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
49.现有技术对威胁情报数据的识别过程较为复杂,使得处理成本较高,不利于大规模的使用。
50.请参阅图1,所示为本发明第一实施例提供的文件还原威胁识别方法,该文件还原威胁识别方法具体应用在各大网站上,以解决现有网站对其接收到的威胁情报数据的识别过程较为复杂,使得对处理威胁情报数据的成本较高,不利于各大网站接收大规模的数据,限制了网站的发展。
51.具体的,本实施例提供的文件还原威胁识别方法具体包括以下步骤:
52.步骤s10,根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件;
53.具体的,在本实施例中,需要说明的是,在网站实际使用的过程中,当网站的某个通讯接口被上传了包含恶意文件的流量文件时,此时需要立即寻找出该恶意文件并进行消除。
54.因此,在本实施例中,首先会根据预设规则提取该网站接收到的流量文件中的hash(哈希值),与此同时,会根据该网站内部预设的还原程序对接收到的流量文件进行还原,以得到需要的还原文件。
55.步骤s20,将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名;
56.进一步的,在本步骤中,为了便于对上述还原文件进行处理,本实施例会将通过上述步骤s10还原出的还原文件按照网站内部预设的存储格式进行存储,更进一步的,并以上述各个还原文件对应的md5值命名,其中,md5值相当于每个还原文件的标识(或者身份),并且每个还原文件有且只有一个与之对应的,独一无二的md5值,从而能够区分出各个还原文件。
57.步骤s30,判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;
58.在本步骤中,当获取到各个还原文件时,本实施例会立即判断各个还原文件对应的md5值是否与hids的新增文件中的md5值关联,其中hids为host-based intrusion detection system,即基于主机型入侵检测系统。
59.进一步的,若判断到还原文件的md5值与hids的新增文件中的md5值关联时,则执行步骤s40。
60.步骤s40,若是,则对所述hash进行检测,以判断所述hash是否具有威胁;
61.在本步骤中,若判断到还原文件的md5值与hids的新增文件中的md5值关联时,则
通过virshtotal对所述hash进行检测,并立即判断所述hash是否具有威胁,以执行步骤s50,其中virshtotal为杀毒引擎,其内部包含多种杀毒引擎特征;
62.若没有判断到还原文件的md5值与hids的新增文件中的md5值关联时,则说明还原文件中没有恶意文件。
63.步骤s50,在所述hash具有威胁的情况下,则进行威胁告警,并展开应急响应。
64.在本步骤中,若判断到上述hash具有威胁时,则通过上述virshtotal进行威胁告警,并展开应急响应;
65.若没有判断到上述hash具有威胁时,则说明还原文件中没有恶意文件。
66.使用时,首先根据预设规则提取流量文件中的hash,并对该流量文件进行文件还原,以得到需要的还原文件;进一步的,将该还原文件按照预设格式进行存储,并以各个还原文件对应的md5值命名;更进一步的,判断每个还原文件的md5值是否与hids的新增文件中的md5值关联;若是,则通过virshtotal对所述hash进行检测,以判断所述hash是否具有威胁;最后,当判断到上述hash具有威胁时,则进行威胁告警,并展开应急响应。本技术提供的文件还原威胁识别方法通过灵活定义流量文件的还原策略,能够有效的处理当前web站点在海量访问的前提下,通过有效的将流量文件还原成需要的还原文件,并进行md5值的关联识别,从而能够准确的识别出当前hash是否具有威胁,以根据结果进行对应的应急响应,识别过程简单、便捷,大幅降低了处理的成本,有利于大范围的推广与使用。
67.需要说明的是,上述的实施过程只是为了说明本技术的可实施性,但这并不代表本技术的文件还原威胁识别方法只有上述唯一一种实施流程,相反的,只要能够将本技术的文件还原威胁识别方法实施起来,都可以被纳入本技术的可行实施方案。
68.综上,本发明上述实施例当中的文件还原威胁识别方法通过灵活定义流量文件的还原策略,能够有效的处理当前web站点在海量访问的前提下,通过有效的将流量文件还原成需要的还原文件,并进行md5值的关联识别,从而能够准确的识别出当前hash是否具有威胁,以根据结果进行对应的应急响应,识别过程简单、便捷,大幅降低了处理的成本,有利于大范围的推广与使用。
69.请参阅图2,所示为本发明第二实施例提供的文件还原威胁识别方法,该文件还原威胁识别方法具体包括以下步骤:
70.步骤s11,通过预设程序指定主机名、请求方法、访问接口以及文件头提取所述流量文件中的hash;对提取出的各个所述流量文件进行文件还原,以得到各个对应的还原文件。
71.具体的,在本实施例中,需要说明的是,当网站某个通讯接口被上传了包含恶意payload的图片文件时,为了保护该网站的信息安全,需要从该网站的流量文件中提取并还原文件进行安全分析,然而,由于网站的访问量巨大,在进行安全分析的同时往往会把正常的网页文件也进行还原和哈希计算,从而淹没了真正需要分析的流量文件,并增大了服务器的计算负载。
72.因此,在本实施例中,会首先通过该网站内部的预设程序指定主机名、请求方法、访问接口以及文件头来对应提取出接收到的流量文件中的hash;
73.进一步的,本步骤还会根据预设程序对提取出的各个流量文件进行文件还原,以得到各个对应的还原文件。
74.步骤s21,记录各个所述还原文件对应的还原日志,并在所述还原日志中记录与http信息关联的文件指纹,所述http信息包括主机名(hostname)、代理地址(proxy)、请求方法(method)、访问接口(url)以及真实访问源地址(true_client_ip)。
75.进一步的,在本步骤中,会进一步对上述还原文件进行分析处理,具体的,本步骤会记录各个还原文件对应的还原日志,并在上述各个还原日志中记录与http信息关联的文件指纹,所述http信息包括主机名(hostname)、代理地址(proxy)、请求方法(method)、访问接口(url)以及真实访问源地址(true_client_ip)。
76.经过上述操作,能够补全每个还原文件对应的文件指纹,便于对各个还原文件的查找以及分析。
77.步骤s31,将所述还原文件按照年月日进行数据的存储,并生成对应的目录,所述目录包括各个所述还原文件对应的md5值。
78.更进一步的,在本步骤中,为了便于对上述还原文件进行处理,本实施例会将通过上述步骤s21还原出的还原文件按照网站内部预设的存储格式进行存储,具体的,本实施例会将上述还原文件按照年月日进行数据的存储,并生成对应的目录,且上述目录包括各个所述还原文件对应的md5值。
79.更进一步的,并以上述各个还原文件对应的md5值命名,其中,md5值相当于每个还原文件的标识(或者身份),并且每个还原文件有且只有一个与之对应的,独一无二的md5值,从而能够区分出各个还原文件。
80.步骤s41,判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;
81.在本步骤中,当获取到各个还原文件时,本实施例会立即判断各个还原文件对应的md5值是否与hids的新增文件中的md5值关联,即两者的md5值是否相似或者一致;
82.若判断到上述还原文件的md5值与hids的新增文件中的md5值相似或者一致时,则执行步骤s51。
83.步骤s51,若是,则通过virshtotal对所述hash进行检测,以判断所述hash是否具有威胁;
84.在本步骤中,若判断到还原文件的md5值与hids的新增文件中的md5值关联时,则通过virshtotal对所述hash进行检测,并立即判断所述hash是否具有威胁,以执行步骤s61,其中virshtotal为杀毒引擎,其内部包含多种杀毒引擎特征;
85.若没有判断到还原文件的md5值与hids的新增文件中的md5值关联时,则说明还原文件中没有恶意文件。
86.步骤s61,若是,则进行威胁告警,并展开应急响应。
87.在本步骤中,若判断到上述hash具有威胁时,则通过上述virshtotal进行威胁告警,并展开应急响应;
88.若没有判断到上述hash具有威胁时,则说明还原文件中没有恶意文件。
89.在本实施例中,还需要说明的是,上述判断所述还原文件的md5值是否与hids的新增文件中的md5值关联的步骤还包括:
90.若是,则通过调用威胁情报接口对所述hash进行检测,以判断所述hash是否具有威胁,从而能够进一步提高检测的准确性。
91.需要指出的是,本发明第二实施例所提供的方法,其实现原理及产生的一些技术
效果和第一实施例相同,为简要描述,本实施例未提及之处,可参考第一实施例中相应内容。
92.综上,本发明上述实施例当中的文件还原威胁识别方法通过灵活定义流量文件的还原策略,能够有效的处理当前web站点在海量访问的前提下,通过有效的将流量文件还原成需要的还原文件,并进行md5值的关联识别,从而能够准确的识别出当前hash是否具有威胁,以根据结果进行对应的应急响应,识别过程简单、便捷,大幅降低了处理的成本,有利于大范围的推广与使用。
93.请参阅图3,所示为本发明第三实施例提供的文件还原威胁识别系统,该文件还原威胁识别系统包括:
94.还原模块12,用于根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件;
95.存储模块22,用于将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名;
96.第一判断模块32,用于判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;
97.第二判断模块42,用于若判断到所述还原文件的md5值与hids的新增文件中的md5值关联,则对所述hash进行检测,以判断所述hash是否具有威胁;
98.第一执行模块52,用于若判断到所述hash具有威胁,则进行威胁告警,并展开应急响应。
99.需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
100.其中,上述文件还原威胁识别系统中,所述还原模块12具体用于:
101.通过预设程序指定主机名、请求方法、访问接口以及文件头提取所述流量文件中的hash;
102.对提取出的各个所述流量文件进行文件还原,以得到各个对应的还原文件。
103.其中,上述文件还原威胁识别系统中,所述存储模块22具体用于:
104.将所述还原文件按照年月日进行数据的存储,并生成对应的目录,所述目录包括各个所述还原文件对应的md5值。
105.其中,上述文件还原威胁识别系统中,所述文件还原威胁识别系统还包括记录模块62,所述记录模块62具体用于:
106.记录各个所述还原文件对应的还原日志,并在所述还原日志中记录与http信息关联的文件指纹,所述http信息包括主机名(hostname)、代理地址(proxy)、请求方法(method)、访问接口(url)以及真实访问源地址(true_client_ip)。
107.其中,上述文件还原威胁识别系统中,所述文件还原威胁识别系统还包括第二执行模块72,所述第二执行模块72具体用于:
108.若判断到所述还原文件的md5值与hids的新增文件中的md5值关联,则通过调用威胁情报接口对所述hash进行检测,以判断所述hash是否具有威胁。
109.本发明第四实施例提供了一种计算机,其包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一实施例或者第二实施例任意一个所述的文件还原威胁识别方法。
110.本发明第五实施例提供了一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一实施例或者第二实施例任意一个所述的文件还原威胁识别方法。
111.综上所述,本发明上述实施例当中的文件还原威胁识别方法、系统、计算机及可读存储介质通过灵活定义流量文件的还原策略,能够有效的处理当前web站点在海量访问的前提下,通过有效的将流量文件还原成需要的还原文件,并进行md5值的关联识别,从而能够准确的识别出当前hash是否具有威胁,以根据结果进行对应的应急响应,识别过程简单、便捷,大幅降低了处理的成本,有利于大范围的推广与使用。
112.另外,结合图1描述的本技术实施例提供的文件还原威胁识别方法可以由上述计算机设备来实现。图4为根据本技术实施例提供的计算机设备的硬件结构示意图。
113.该计算机设备可以基于获取到的可读存储介质,执行本技术上述第一实施例或者第二实施例中的文件还原威胁识别方法,从而实现结合图1描述的文件还原威胁识别方法。
114.另外,结合上述实施例中的文件还原威胁识别方法,本技术实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述第一实施例或者第二实施例提供的任意一种文件还原威胁识别方法。
115.其中,需要说明的是,上述存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行移动终端的各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据移动终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
116.进一步的,存储器可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器可包括硬盘驱动器(hard disk drive,简称为hdd)、软盘驱动器、固态驱动器(solid state drive,简称为ssd)、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus,简称为usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器可在数据处理装置的内部或外部。在特定实施例中,存储器是非易失性(non-volatile)存储器。在特定实施例中,存储器包括只读存储器(read-only memory,简称为rom)和随机存取存储器(random access memory,简称为ram)。在合适的情况下,该rom可以是掩模编程的rom、可编程rom(programmable read-only memory,简称为prom)、可擦除prom(erasable programmable read-only memory,简称为eprom)、电可擦除prom(electrically erasable programmable read-only memory,简称为eeprom)、电可改写rom(electrically alterable read-only memory,简称为earom)或闪存(flash)或者两个或更多个以上这些的组合。在合适的情况下,该ram可以是静态随机存取存储器(static random-access memory,简称为sram)或动态随机存取存储器(dynamic random access memory,简称为dram),其中,dram可以是快速
页模式动态随机存取存储器(fast page mode dynamic random access memory,简称为fpmdram)、扩展数据输出动态随机存取存储器(extended date out dynamic random access memory,简称为edodram)、同步动态随机存取内存(synchronous dynamic random-access memory,简称sdram)等。
117.并且存储器可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器所执行的可能的计算机程序指令。
118.更进一步的,处理器通过读取并执行存储器中存储的计算机程序指令,以实现上述第一实施例或者第二实施例提供的网络入侵防护方法。
119.另外,输入单元可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,输入单元可包括触控面板以及其他输入设备。触控面板,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器,并能接收处理器发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板。除了触控面板,输入单元还可以包括其他输入设备。具体地,其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
120.显示单元可用于显示由用户输入的信息或提供给用户的信息以及移动终端的各种菜单。显示单元可包括显示面板,可选的,可以采用液晶显示器(liquid crystal display,简称为lcd)、有机发光二极管(organic light-emitting diode,简称为oled)等形式来配置显示面板。进一步的,触控面板可覆盖显示面板,当触控面板检测到在其上或附近的触摸操作后,传送给处理器以确定触摸事件的类型,随后处理器根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然触控面板与显示面板是作为两个独立的部件来实现移动终端的输入和输入功能,但是在某些实施例中,可以将触控面板与显示面板集成而实现移动终端的输入和输出功能。
121.处理器是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器内的软件程序和/或模块,以及调用存储在存储器内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。可选的,处理器可包括一个或多个处理单元;优选的,处理器可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器中。
122.具体地,上述处理器可以包括中央处理器(cpu),或者特定集成电路(application specific integrated circuit,简称为asic),或者可以被配置成实施本技术实施例的一个或多个集成电路。
123.通信接口用于实现本技术实施例中各模块、装置、单元和/或设备之间的通信。通信接口还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
124.总线包括硬件、软件或两者,将部件彼此耦接在一起。总线包括但不限于以下至少之一:数据总线(data bus)、地址总线(address bus)、控制总线(control bus)、扩展总线(expansion bus)、局部总线(local bus)。举例来说而非限制,总线可包括图形加速接口(accelerated graphics port,简称为agp)或其他图形总线、增强工业标准架构(extended industry standard architecture,简称为eisa)总线、前端总线(front side bus,简称为fsb)、超传输(hyper transport,简称为ht)互连、工业标准架构(industry standard architecture,简称为isa)总线、无线带宽(infiniband)互连、低引脚数(low pin count,简称为lpc)总线、存储器总线、微信道架构(micro channel architecture,简称为mca)总线、外围组件互连(peripheral component interconnect,简称为pci)总线、pci-express(pci-x)总线、串行高级技术附件(serial advanced technology attachment,简称为sata)总线、视频电子标准协会局部(video electronics standards association local bus,简称为vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线可包括一个或多个总线。尽管本技术实施例描述和示出了特定的总线,但本技术考虑任何合适的总线或互连。
125.以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
126.以上所述实施例仅表达了本技术的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本技术构思的前提下,还可以做出若干变形和改进,这些都属于本技术的保护范围。因此,本技术专利的保护范围应以所附权利要求为准。

技术特征:
1.一种文件还原威胁识别方法,其特征在于,所述方法包括:根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件;将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名;判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;若是,则对所述hash进行检测,以判断所述hash是否具有威胁;在所述hash具有威胁的情况下,则进行威胁告警,并展开应急响应。2.根据权利要求1所述的文件还原威胁识别方法,其特征在于:所述根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件的步骤包括:通过预设程序指定主机名、请求方法、访问接口以及文件头提取所述流量文件中的hash;对提取出的各个所述流量文件进行文件还原,以得到各个对应的还原文件。3.根据权利要求1所述的文件还原威胁识别方法,其特征在于:所述将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名的步骤包括:将所述还原文件按照年月日进行数据的存储,并生成对应的目录,所述目录包括各个所述还原文件对应的md5值。4.根据权利要求1所述的文件还原威胁识别方法,其特征在于:所述根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件的步骤之后,所述方法包括:记录各个所述还原文件对应的还原日志,并在所述还原日志中记录与http信息关联的文件指纹,所述http信息包括主机名hostname、代理地址proxy、请求方法method、访问接口url以及真实访问源地址true_client_ip。5.根据权利要求1所述的文件还原威胁识别方法,其特征在于:所述对所述hash进行检测的步骤包括:通过virshtotal或者调用威胁情报接口对所述hash进行检测,以判断所述hash是否具有威胁。6.一种文件还原威胁识别系统,其特征在于,所述系统包括:还原模块,用于根据预设规则提取流量文件中的hash,并对所述流量文件进行文件还原,以得到还原文件;存储模块,用于将所述还原文件按照预设格式进行存储,并以各个所述还原文件对应的md5值命名;第一判断模块,用于判断所述还原文件的md5值是否与hids的新增文件中的md5值关联;第二判断模块,用于若判断到所述还原文件的md5值与hids的新增文件中的md5值关联,则对所述hash进行检测,以判断所述hash是否具有威胁;第一执行模块,用于若判断到所述hash具有威胁,则进行威胁告警,并展开应急响应。7.根据权利要求6所述的文件还原威胁识别系统,其特征在于:所述还原模块具体用于:通过预设程序指定主机名、请求方法、访问接口以及文件头提取所述流量文件中的
hash;对提取出的各个所述流量文件进行文件还原,以得到各个对应的还原文件。8.根据权利要求6所述的文件还原威胁识别系统,其特征在于:所述存储模块具体用于:将所述还原文件按照年月日进行数据的存储,并生成对应的目录,所述目录包括各个所述还原文件对应的md5值。9.一种计算机,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任意一项所述的文件还原威胁识别方法。10.一种可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至5中任意一项所述的文件还原威胁识别方法。

技术总结
本申请涉及一种文件还原威胁识别方法、系统、计算机及可读存储介质,该方法包括:根据预设规则提取流量文件中的hash,并对流量文件进行文件还原,以得到还原文件;将还原文件按照预设格式进行存储,并以各个还原文件对应的MD5值命名;判断还原文件的MD5值是否与HIDS的新增文件中的MD5值关联;若是,则通过VirshTotal对hash进行检测,以判断hash是否具有威胁;若是,则进行威胁告警,并展开应急响应。本申请提供的文件还原威胁识别方法通过灵活定义流量文件的还原策略,并进行MD5值的关联识别,从而能够准确的识别出当前hash是否具有威胁,以根据结果进行对应的应急响应,识别过程简单、便捷,大幅降低了处理的成本,有利于大范围的推广与使用。大范围的推广与使用。大范围的推广与使用。


技术研发人员:万争 范渊 刘博
受保护的技术使用者:杭州安恒信息技术股份有限公司
技术研发日:2021.11.19
技术公布日:2022/3/8

最新回复(0)